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(54) Title: PROCESS MEASUREMENT APPARATUS FEATURING EXTENDED HARDWARE FAILURE RECOGNITION 
(54) Bezeichnung: PROZESSIVIESSGERAT MTT ERWEITERTER HARDWAREFEHLERERKElSflSrUNG 

(57) Abstract: Disclosed is a process measurement apparatus comprising a first processor (21) which processes measured values 
in a first processing cycle by means of a first algorithm, and a second processor (25) that performs coordination tasks and/or com- 
munication tasks. The second processor (25) reads a set of reference data out of the first processor (21) at intervals that are greater 
than the first processing cycle and executes the first algorithm based on said set of reference data in order to verify whether the first 
processor functions properly. 



(57) Zusammenfassung: Ein Prozessmessgerat mit einem ersten Prozessor (21), welcher in ersten Verarbeitungszyklen mit einem 
ersten Algoiithmus eine Messwertverarbeitung durchfuhrt; und einen zweiten Prozessor (25), welcher Koordinations und/oder Kom- 
munikationsaufgaben wahmimmt. Der zweite Prozessor (25) liest in Zeitabstanden, die grosser sind als der erste Verarbeitungszyklus 
einen KontroUdatensatz aus dem ersten Prozessor (21), und fuhrt anhand des KontroUdatensatzes den ersten Algorithmus aus um die 
korrekte Funktion des ersten Prozessors zu verifizieren. 
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Beschreibung 
Prozessmessgerat mit erweiterter Hardwarefehlererkennung 

[001] Die vorliegende Erfindung betrifft ein Prozessmessgerat, insbesondere ein Prozess- 
messgerat mit erweiterter Hardwarefehlererkennung. 

[002] Die Zertifizierung eines Prozessmessgerates nach der Norm IEC61508; (SIL2) 
erfordert, dass am Gerat eventuell auftretende Hardware-Defekte mit holier Wahr- 
scheinlichkeit erkannt und als Fehlerzustand an einen Messwertempfanger signalisiert 
werden. Der statistische Anteil von Fehlem, die zu einer korrekten Signalisierung des 
Fehlerzustands an den Messwertempfanger fiihrt, wird SFF (nach dem englischen 
Begriff Safe Failure Fraction) bezeichnet. 

[003] Der vorUegenden Erfindung liegt daher die Aufgabe zugrunde, ein Prozessmessgera 
t mit einer Im Sinne einer hohen Erkennungswahrscheinlichkeit im Falle von Hardwa- 
refehlem bereitzustellen. 

[004] Statistische Analysen der Fehlerhaufigkeit haben ergeben, dass insbesondere 

Prozessoren und andere hochintegrierte Halbleiterbauteile, beispielsweise Speicher und 
ASICS, maBgeblich zur statistischen Gesamtausfallrate eines Prozessmessgerates 
beitragen. 

[005] Die Aufgabe wird gelost durch ein Prozessmessgerat mit einem ersten Prozessor, 
welcher in ersten VerarbeitungszyMen mit einem ersten Algorithmus eine Messwert- 
verarbeitung durchfiihrt; und einen zweiten Prozessorj welcher hauptsachlich fur die 
Koordination und/oder Kommunikation zustandig ist, 

[006] wobei femer der zweite Prozessor in Zeitabstanden, die groBer sind als der erste 
Verarbeitungszyklus einen KontroUdatensatz aus dem ersten Prozessor ausliest, und 
anhand des KontroUdatensatzes den ersten Algorithmus ausfuhrt und die korrekte 
Funktion des ersten Prozessors verifiziert. 

[007] Der erste Prozessor ist vorzugsweise ein spezialisierter digitaler Signalprozessor mit 
sehr schnellen Verarbeitungszykien. Der zweite Prozessor ist beispielsweise ein Micro- 
controller, der erheblich klangsamer arbeitet als der digitale Signalprozessor. 

[008] Der KontroUdatensatz kann beispielsweise Rohmesswerte eines Sensors und Zu- 
standsvariablen sowie die von dem ersten Prozessor daraus errechneten zugehorigen 
Ergebniswerte enthalten. Die Verifizierang erfolgt beispielsweise durch direkten 
Vergleich des aus dem ersten Prozessor ausgelesenen Ergebnis mit dem Ergebnis aus 
der Durchfiihrung des ersten Algorithmus durch den zweiten Prozessor. 

[009] Der zweite Prozessor umfasst einen Programmspeicher. Zusatzlich kann der zweite 
Prozessor gemaB einer Weiterbildung der Erfindung seinen Programmspeicher mittels 
einer Prufsumme oder einem CRC (nach englischen Begriff Cyclic Redundancy 
Check) regelmaBig verifizieren. 
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[010] Der zweite Prozessor umfasst weiterhin einen Schreib/Lesespeicher, den der zweite 

Prozessor gemaB einer Weiterbildung der Erfindung mittels Teslpattem regebnaBig auf 

statische Fehler ubeiprufen kaiin. 
[01 1] Der zweite Prozessor umfasst zudem ein Rechenwerk, einen Schreib/Lesespeicher, 

welchen der zweite Prozessor gemaB einer Weiterbildung der Erfindung mittels Prii fal- 

gorithmen regelmaBig auf statische Fehler iiberpnifen kann. 
[012] In einer Weiterbildung der Erfindung kann der zweite Prozessor die Daten im Pro- 

grammspeicher des ersten Prozessors mit einem lokal gespiegelten Speicherbereich 

vergleichen und verifizieren. 
[013] Nach einem Aspekt der Erfindung kann der zweite Prozessor bekannte Konstanten 

im Datenspeicher des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 

verifizieren, 

[014] Nach einem weiteren Aspekt der Erfindung kann, der zweite Prozessor Konfigurati.- 
onsregister des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 
regehnaBig verifizieren. 

[015] In einer Ausgestaltung der Erfindung umfasst das Prozessmessgerat eine 4..20 mA 
Zweitdraht-Schnittstelle. Optional kann eine Watchdog-Schaltung die Funktion des 
zweiten Prozessors und eines zugehorigen Taktgebers uberpriifen und im Fehlerfall 
unabhangig von dem ersten Prozessor und dem zweiten Prozessor iiber den 4..20 mA 
Signalstrom einen Fehler signalisieren. 

[016] Die Erfindung wird nun an eiiiem in den Figuren dargestellten Ausfuhrungsbeispiel 
erlautert. Es zeigt: 

[017] . Fig. 1 : Ein Blockschaltbild der Geiateelektronik 

[018] eines erfindungsgemafien Druckaufnehmers; und 

[019] Fig. 2: Ein Blockschaltbild zur Selbstiiberwachung. 

[020] Die in Fig. 1. dargestellte modulare Gerateelektronik des erfindungsgemaBen 

Druckaufnehmers umfasst eine Sensorelektronik 1 und eine Hauptelektronik 2. Die 
Hauptelektronik 2, verarbeitet Sensorsignale, welche iiber eine serielle Schnittstelle 
von einer Sensorelektronik empfangen werden. 

[021] Die Sensorelektronik umfasst im einzelnen ein Sensor-ASIC 12 , dessen we- 

sentliche Aufgabe es ist, Druck- sowie Temperatursignale einer Druckmesszelle 1 1 
bzw. eines Primarsensors entgegenzunehmen und ggf . ihre Signalpegel zu normieren. 
Dazu stehen — je nach Messprinzip des Primarsensors - eine Stromquelle fur resistive 
Sensoren und eine kapazitive Schnittstelle fur kapazitive Drucksensoren zur Verfu 
gung, an die jeweils absolut/relativ oder Differenzdruckmesszellen angeschlossen 
werden konnen. Die Normierung erfolgt iiber einstellbare Verstarker, sogenannte „ Pro- 
grammable Gain Amplifieres" (PGA), in den Ausfiihrungen als Differenz und Absolut- 
verstarker. Danach werden die normierten Werte analog/digital (A/D) gewandelt und u 
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ber eine serieUe Schnittstelle an die Hauptelektronik 2 weitergegeben. Sensor- 
spezifische Daten wie Kompensationskoeffizienten u. a. auf einem Sensor-EEPROM 
13 abgelegt. 

[022] Das ASIC 12 ist in der Lage, Uberlaufe in den intemen Verstarkem und Al 

D-Wandlem zu erkennen und diese ebenfalls iiber die serielle Schnittstelle in Form 
eines Fehlertelegramms an die Hauptelektronik 2 zu melden. 

[023] Die Hauptelektronik 2 umfasst im wesentlichen folgende Komponenten: 

[024] Einen Druckprozessor 21 (ASIC mit integriertem Digitalen Signal Prozessor 

(DSP)), der u. a. als serielles Interface zur Sensorelektronik 1 wirkt, deren Rohdaten 
empfangt, und daraus den Ausgangswert berechnet. Je nach Betriebsart kann der Aus- 
gangswert entweder Druck, Fiillstand oder Durchfluss reprasentieren. Das Re- 
chenergebnis wird beispielsweise als pulsweitenmoduHertes Signal (PWM) be- 
reitgestellt Eine weitere Funktionalitat des Prozessors 21 ist die Generierung des 
Taktsignals fur die komplette Messumf ormerelektronik. 

[025] Die Hauptelektronik umfasst weiterhin einen Kommunikations-ASIC 22; dieser 
Baustein dient als Schnittstelle des Messumformers zur AuBenwelt. In ihm integriert 
ist ein DC/DC- Wandler zur Stromversorgung des gesamten Cerates und ein 
Stromsteller, der aus dem PWM-Signal des Druckprozessors den entsprechenden 
Stromwert auf eine 4-20mA Stromschleife einpragt. Weiterhin sind in ihm ein HART- 
Modem fur die Kommunikation auf Feldebene, eine hochgenaue Spannungsreferenz 
sowie ein Hardware-Watchdog integriert. 

[026] Weiterhin umfasst die Hauptelektronik einen Microcontroller 25, welcher fur die 
Initialisierung des Messprozessors benotigtwird. Im Regelbetrieb wird iiber ihn 

[027] die Vor-Ort-Bedienung mittels Taster bzw. Fembedienung uber HART realisiert. 
Zu diesem Zweck kann auch noch ein Display 23 vorgesehen sein. 

[028] Weitere Funktionen des Microcontrollers 25 konnen beispielsweise Fehlerver- 
arbeitung, Umrechnung der Messdaten in vom Benutzer eingestellte Einheiten, 
Triggem eines Watchdogs im Kommunikations-ASIC, ProtokoUieren von Min/ 
Max-Werten und der Messbereichsuberschreitung, Summenzahler fur den Modus „ 
Durchfluss", und Nichtfluchtige Datenhaltung sein. 

[029] Beim Druclq)rozessor 21 handelt es sich um ein ASIC mit einem integrierten 
digitalen Signalprozessor. Seine Starke liegt in der schnellen und auBerst energie- 
sparenden Berechnung der Messwerte. Unter Vollast betragt die Stromaufhahme des 
Druckprozessors ca. 600 |liA. 

[030] Der Microcontroller 25 ist zwar prinzipiell auch in der Lage, diese Berechnungen 
durchzufuhren, allerdings wiirde er bei gleicher Berechnungsgeschwindigkeit ein 
Vielfaches an Energie verbrauchen; zu viel fur ein Gerat, das seine Versorgung aus 
einer 4-20niA Stromschleife bezieht. Eingesetzt wird der Microcontroller in den 
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Bereichen, wo es nicht auf zeitkritische Berechnungen ankommt. Dadurch ist es mo 
gUch, den Baustein mit einem stark reduzierten Takt zu betreiben, urn den Strom- 
verbrauch auf ein vertragliches MaB zu senken. 
[031] Bei der Gerateinitialisierung ist folgende Besonderheit zu beachten. Da es mehrere 
verschiedene Sensorbaugrappen und Hauptelektronikvarianten gibt, ware es ein zu gro 
6er Auf wand, fiir jede mogliche Kombination von Sensor und Elektronik eine 
passende Softwarelosung bereitzustellen. Dies wird dadurch umgangen, dass man die 
Software in zwei Teile auftrennt, namlich in einen sensor- und einen applikationsspe- 
zifischen Teil. 

[032] Der sensorspezifische Teil ist auf der Sensorelektronik in einem Sensor-EEPROM 
13 gespeichert. Erhalt die Sensorik die ersten Taktsignale von der Hauptelektronik, so 
liest sie ihren Progranmiteil aus dem EEPROM aus und schickt ihn liber die serielle 
Verbindung an die Hauptelektronik. Dort wird das Sensorprogramm vom Micro- 
controller 25 aus dem DSP 21 ausgelesen und mit dem applikationsspezifi-schen 
Programm verbunden, das er aus dem Programmspeicher der Hauptelektronik erhalt. 
Die beiden Programmteile werden dann miteinander verbunden, d.h. die Offsets der 
Adressen im Speicher werden so verandert, dass verschiedene Variablen nicht die 
gleichen Speicherbereiche verwenden. Nach Abschluss dieses Vorgangs wird das nun 
komplettierte Programm zuriick in den DSP geschiieben. Danach werden lediglich 
noch die Konfigurationsparameter der Messumformung in den Datenspeicher des DSP 
geladen, der Messumformer ist nun einsatzbereit und berechnet aus den daraufhin ein- 
treffenden Rohdaten die Messwerte. 

[033] Die erfindungsgemaBen Druckaufnehmer erfiillen vorzugsweise die Anforderungen 
an Funktionale Sicherheit bis SIL 2 nach lEC 61508. Die Norm stellt quantitative An- 
forderungen hinsichtlich der Einhaltung von Mindestwerten fiir sicherheitstechnische 
KenngroBen wie Safe Failure Fraction (SFF) an die Gerate. Zur ErfuUung der quan- 
titativen Anforderungen (z.B. SFF > 90%) sind in der Regel zusatzliche DiagnosemaB 
nahmen und Uberwachungsfunktionen im Gerat erforderlich. Uber eine FMEDA 
(Failure Mode, Effects and Diagnostics Analysis) der Elektronik auf Kompo- 
nentenebene mit nachfolgender Optimierung wurde die Selbstuberwachung, deren 
Konzept im folgenden beschrieben ist, als Beitrag zur Erflillung der SIL2 Norm iden- 
tifiziert. 

[034] Die Selbstuberwachung besteht aus einem Softwarepaket, mit dem unter anderem 
CRCs (CycUc Redundancy Check) und Priifsummen von RAM und ROM des Micro- 
controllers sowie des EEPROM realisiert werden. 

[035] Die Selbstuberwachung umfasst weiterhin eine stichprobenartigen KontroUe der 

Funktion des DSP durch eine Kontrollrechnung im Microcontroller. Dazu miissen, wie 
in Fig. 2 gezeigt, die Eingangswerte und Zustandsvariablen sowie der Ausgangswert 
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aus dem DSP 21 ausgelesen werden. Aus den Eingangswerten und den Zustands- 
variablen wird der Ausgangswert berechnet, den der DSP ausgeben musste. Danach 
wird der gemessene mit dem berechneten Ausgangswert verglichen. Kommt es dabei 
zu Differenzen, so wird dies an iibergeordnete KontroUinstanzen in der Software des 
Messumformers gemeldet, die ihrerseits veranlassen, dass der Kommunikations-ASIC 
22 ein Fehlersignal (HART) ausgibt. Anhand dieses Signals erkennt das Auswertegera 
t, an dem der Messumformer angeschlossen ist, den Geratefehler und leitet die 
notwendigen MaBnahmen ein, wie eine Meldung zum Austausch des defekten Gerates. 

[036] Der DSP 21 auf der Hauptelektronik fuhrt sehr schnelle Berechnungen durch. Um 
nun diesen Baustein iiberwachen zu konnen, wird eine Baugruppe benotigt, die 
zmnindest ebenso schnell die Berechnungen durchfuhren oder zunaindest die Daten des 
DSP kaim. Es wurde im vorliegenden Ausfuhrungsbeispiel die Selbstiiberwachung 
durch den Microcontrollers 25 gewahlt. Diese Losung beinhaltet die KontroUrechnung 
seitens des Microcontrollers 25. Sie kommt ohne zusatzliche Hardware aus und sorgt 
dabei noch mit diversitarer Hardware fiir eine erweiterte Sicherheit. Die geringere Ge- 
schwindigkeit des Microcontrollers 25 verhindert es aber, die Berechnungen des DSP 
in Echtzeit durchzufiihren. Dies ist zu beriicksichtigen. 

[037] Der Microcontroller 25 fiihrt daher nur Stichproben durch. Der einzig zeitkritische 
Vorgang ist dabei das Einlesen der Zustandsvariablen (zwischengespeicherte Werte 
des letzten MeBzyklus) imd der Druck- und Temperaturrohdaten der Sensorelektronik 
sowie des berechneten Ausgangswertes des DSP 21. Die nachfolgende Berechnung des 
Ausgangswertes im jiC ist praktisch zeitunabhangig, sie kann beliebig oft durch andere 
Programmteile unterbrochen werden. 

[038] Die Selbstiiberwachung besteht in der Hauptsache aus drei Programmteilen: 

[039] Einer Hauptroutine, der Erfassung der Messwerte, und einer eigenstandigen 

Berechnung mit anschlieBendem Vergleich. Die komplette Selbstiiberwachung ist in 
Form von Zustandsmaschinen realisiert, wobei fiir die Erfassung und die Berechnung 
absichtlich zwei getrennte Prozesse eingesetzt werden. Dies ermoglicht eine unter- 
schiedliche Priorisierung der beiden Vorgange auf Interruptebene. Die Messwer- 
terfassung bedarf einer hohen Prioritat, um einen kompletten, giiltigen Datensatz in der 
gegebenen Zeit einlesen zu konnen. Liefe dieser Prozess auf einer niedrigeren Ebene, 
wiirde die Selbstiiberwachung nicht funktionieren, da es aufgrund von Unter- 
brechungen nie zu einem kompletten Datensatz kame. Im Gegensatz dazu braucht die 
Berechnung keine hohe Prioritat, da sie keinem Zeitzwang unterliegt. 

[040] Im sensor- und applikationsspezifischen Programm gibt es jeweils Variablen, die 

den Wert der vorherigen Messung enthalten (Dampfungswerte, Rauschfilter). Dabei ist 
zu beachten, dass sich diese Werte sehr schnell andem, da ein kompletter Progranmi- 
durchlauf im DSP weniger als 10 ms dauert. Fiir die Kontrolkechnung sind die 
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Zahlenwerte zum relevanten Zeitpunkt eif orderlich, da sonst ein bitgenauer Vergleich 
nicht moglich ist. Dies wird durch schnelles Einlesen der betroffenen Variablen unter 
Verwendung von „Inline-Code" erreicht, also mit optimiertem Code auf Assembler- 
Ebene, der auf das Aufrufen von Registem und langwierige Stackoperationen 
verzichtet. 

[041] Jedes neue Datenpaket, das den DSP erreicht, lost einen Interrupt aus, der sich auch 
ftir die Synchronisation der Selbstiiberwachung einsetzen lasst. In der Interrupt- 
Routine wird bei jedem Aufruf automatisch ein Zahler (Framecounter) inkrementiert. 
Als zusatzliche Funktionalitat ist das Einlesen der Statusvariablen bei einem 
bestimmten Stand des Framecounters integriert. 

[042] Die Messwerterfassung beinhaltet das Einlesen der Druck- und Temperaturwerte 
des Sensor- ASIC, die zwischengespeicherten Ergebnisse der vorangegangenen 
Berechnung sowie den berechneten Ausgangswert des DSP. Nach dem Einlesen der 
Werte ist zu uberprufen, ob die eingelesenen Werte, tatsachHch den gleichen Mes- 
szeitpunkt reprasentieren. 

[043] AnschlieBend wird das DSP-Programm vom Microcontroller 25 ausgefuhrt, um die 
Kontrollrechnung anhand der eingelesenen Daten durchzufiiren. Nach dem Ende der 
Kontrollrechnung findet ein Vergleich von Rechen- und Messwert statt. Stellt der Mi- 
crocontroller eine zu groBe Differenz zwischen Rechen- und Messwert fest, wird das 
Kommimikations-ASIC angewiesen, einen Fehlerstrom auszugeben und bei Bedarf 
noch eine Fehlenneldung tiber HART auszugeben. 
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Anspriiche 

[001] 1. Prozessmessgerat mit einem ersten Prozessor 21, welcher in ersten Verarbei- 

tungszyklen mit einem ersten Algorithmus eine Messwertverarbeitung durchfu 
hit; und einen zweiten Prozessor 25, welcher Koordinations und/oder Kommuni- 
kationsaufgaben wahrnimmt, wobei femer der zweite Prozessor 25 in Zeitabsta 
nden, die groBer sind als der erste VerarbeitungszyMus einen KontroUdatensatz 
aus dem ersten Prozessor 21 ausliest, und anhand des KontroUdatensatzes den 
ersten Algorithmus ausfuhrt um die korrekte Funktion des ersten Prozessors zu 
verifizieren. 

[002] 2. Prozessmessgerat nach Anspruch 1, wobei der KontroUdatensatz Roh- 

messwerte eines Sensors und Zustandsvariablen sowie die von dem ersten 
Prozessor daraus errechneten zugehorigen Ergebniswerte enthalt. 

[003] 3. Prozessmessgerat nach Anspruch 1 oder 2, wobei die Verifizierung durch 

direkten Vergleich des aus dem ersten Prozessor 21 ausgelesenen Ergebnis mit 
dem Ergebnis aus der Durchfiihrung des ersten Algorithmus durch den zweiten 
Prozessor 25 erfolgt. 

[004] 4. Prozessmessgerat nach einem der Anspriiche 1 bis 3, wobei der zweite 

Prozessor einen Progranamspeicher umf asst und den Programnaspeicher mittels 
einer Prufsumme oder einem CRC regelmaBig verifiziert. 

[005] ' 5. Prozessmessgerat nach einem der Anspriiche 1 bis 4, wobei der zweite 

Prozessor weiterhin einen Schreib/Lesespeicher, den der zweite Prozessor mittels 
Testpattem regelmaBig auf statische Fehler uberpriifen kann. 

[006] 6. Prozessmessgerat nach einem der Anspriiche 1 bis 5, wobei der zweite 

Prozessor einen Schreib/Lesespeicher, welchen der zweite Prozessor mittels Prii 
falgorithmen regelmaBig auf statische Fehler iiberpriifen kann. 

[007] 7, Prozessmessgerat nach einem der Anspriiche 1 bis 6, wobei der zweite 

Prozessor die Daten im Progranamspeicher des ersten Prozessors mit einem lokal 
gespiegelten Speicherbereich vergleicht und verifiziert. 

[008] 8, Prozessmessgerat nach einem der Anspriiche 1 bis 7, wobei der zweite 

Prozessor bekannte Konstanten im Datenspeicher des ersten Prozessors durch 
Vergleich mit lokal gespiegelten Werten verifiziert. 

[009] 9. Prozessmessgerat nach einem der Anspriiche 1 bis 8, wobei der zweite 

Prozessor Konfigurationsregister des ersten Prozessors durch Vergleich mit lokal 
gespiegelten Werten regelmaBig verifiziert. 

[010] 10. Prozessmessgerat nach einem der Anspriiche 1 bis 9, wobei das Prozess- 

messgerat eine 4..20 mA Zweitdraht-Schnittstelle umfasst, und wobei eine 
Watchdog-Schaltung die Funktion des zweiten Prozessors und eines zugehorigen 
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Taktgebers iiberpruft und im Fehlerfall unabhSngig von dem ersten Prozessor 21 
xrnd dem zweiten Prozessor 25 iiber den 4..20 mA Signalstrom einen Fehler si- 
gnalisiert. 
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